Politika privatnosti usluge Pozivnici
Ova politika opisuje kako Pozivnici prikuplja, koristi i štiti lične podatke u skladu sa Uredbom (EU) 2016/679 (GDPR) i Zakonom o zaštiti podataka o ličnosti („ZZPL“) Republike Srbije.
Rukovalac podacima
Rukovalac ličnim podacima u smislu člana 4. stav 7. Uredbe (EU) 2016/679 („GDPR“) i člana 4. stav 1. tačka 8. Zakona o zaštiti podataka o ličnosti Republike Srbije („ZZPL“) je:
- Pun naziv
- Pozivnici d.o.o. (TODO-LAWYER: pun poslovni naziv)
- Adresa sedišta
- TODO-LAWYER: unesite adresu sedišta
- PIB / Matični broj
- TODO-LAWYER
- Elektronska pošta
- privacy@pozivnici.rs
Kada Pozivnici pruža uslugu hostinga pozivnica organizatorima događaja, organizator je rukovalac podataka gostiju, dok Pozivnici deluje kao obrađivač. Uslovi te obrade regulisani su Ugovorom o obradi podataka.
Vrste ličnih podataka koje obrađujemo
U zavisnosti od korišćenja usluge obrađujemo sledeće kategorije podataka:
- Podaci o nalogu: e-mail adresa, ime i prezime, lozinka u haš obliku, vremenski pečati prijave.
- Podaci o pretplati i fakturisanju: podaci proslediteljuPaddle-u (zemlja, iznos, valuta, jedinstveni identifikator transakcije); Pozivnici ne čuva brojeve platnih kartica.
- Sadržaj pozivnica: tekst, fotografije, muzika, lista gostiju — isključivo ono što Korisnik otpremi.
- Podaci o RSVP odgovorima gostiju: ime, status dolaska, eventualno telefon, napomena (obradu usmerava organizator; videti DPA).
- Tehnički i analitički podaci: anonimizovani pregledi stranica (Plausible self-hosted), tehničke greške (Sentry), IP adresa u obliku soli haša za sprečavanje zloupotreba.
- Podaci o pomoći: sadržaj poruka koje pošaljete podršci (bez citiranja trećih lica bez njihove saglasnosti).
Pravni osnov obrade
Obradu sprovodimo na sledećim pravnim osnovima:
| Kategorija podataka | Pravni osnov (GDPR čl. 6) | Razlog |
|---|---|---|
| Podaci o nalogu | Izvršenje ugovora — čl. 6(1)(b) | Otvaranje i vođenje korisničkog naloga. |
| Fakturisanje | Zakonska obaveza — čl. 6(1)(c) | Računovodstveni propisi (10 godina). |
| Sadržaj pozivnica | Izvršenje ugovora — čl. 6(1)(b) | Hostovanje i dostavljanje pozivnice. |
| RSVP podaci gostiju | Legitimni interes organizatora — čl. 6(1)(f) | Vođenje liste gostiju; Pozivnici deluje kao obrađivač (videti DPA). |
| Analitika (Plausible) | Legitimni interes — čl. 6(1)(f) | Unapređenje usluge; ne koriste se kolačići koji identifikuju posetioca. |
| Marketing komunikacija | Saglasnost — čl. 6(1)(a) | Prethodna izričita saglasnost; moguće povlačenje u bilo kom trenutku. |
Svrhe obrade
Podatke obrađujemo u sledeće svrhe:
- pružanje ugovorenih funkcija platforme;
- naplata usluge, izdavanje faktura i računovodstveno evidentiranje;
- podrška korisnicima i odgovor na upite;
- osiguranje bezbednosti platforme, sprečavanje zloupotreba i otkrivanje incidenata;
- unapređenje i razvoj usluge (agregirane statistike i tehničke metrike);
- ispunjavanje zakonskih obaveza (npr. prosleđivanje podataka nadležnim organima kad je to zakonom propisano).
Primaoci i obrađivači (sub-processors)
Pozivnici koristi pažljivo izabrane obrađivače (sub-processors) sa kojima je zaključen pisani ugovor u skladu sa članom 28. GDPR-a. Trenutni spisak:
| Obrađivač | Svrha | Lokacija | Mehanizam prenosa |
|---|---|---|---|
| Hetzner Online GmbH (TODO-LAWYER: potvrditi) | Hosting infrastrukture (aplikacija, baza, keš) | Nemačka (EU) | Adekvatnost (EU) |
| Paddle.com Market Limited | Obrada plaćanja kao merchant-of-record | Ujedinjeno Kraljevstvo | Adekvatnost (UK) |
| Postmark (ActiveCampaign LLC) | Transakcioni e-mail (potvrde, obaveštenja) | SAD (DPF sertifikovan) | EU-US DPF + SCCs |
| Anthropic PBC | AI generisanje sadržaja (kao fallback; sa potpisanim Zero Data Retention aneksom) | SAD | SCCs + ZDR aneks |
| Sentry.io (Functional Software, Inc.) | Beleženje tehničkih grešaka | SAD | EU-US DPF + SCCs |
| MinIO on self-hosted VPS | Skladište slika i priloga kompatibilno sa S3 | Nemačka (na istom VPS-u kao aplikacija) | Adekvatnost (EU) |
Ažuriran spisak se objavljuje kao aneks uz Ugovor o obradi podataka. O uvođenju novog obrađivača obaveštavamo Korisnike najmanje 30 dana unapred.
TODO-LAWYER: Potvrditi konačan spisak i mehanizme prenosa.
Prenos podataka van Srbije i EU
Kada prenosimo podatke van EEP-a, oslanjamo se na jedan od sledećih mehanizama:
- Standardne ugovorne klauzule (SCCs) Evropske komisije — za obradu u SAD, UK i drugim trećim zemljama.
- EU-US Data Privacy Framework (DPF) gde je obrađivač sertifikovan.
- Zero Data Retention aneks sa AI obrađivačima (Anthropic) kako bi se izbeglo čuvanje prompta i odgovora van zahteva.
- Procena uticaja prenosa (TIA) za svaku treću zemlju — dokumentovano u internoj arhivi.
Rokovi čuvanja
Podatke čuvamo u sledećim rokovima:
- Podaci o nalogu: tokom aktivnog ugovora + 30 dana nakon brisanja naloga (tehnički grace period).
- Računovodstvena dokumentacija: 10 godina u skladu sa Zakonom o računovodstvu.
- Pozivnice i RSVP: najviše 24 meseca nakon datuma događaja, ili do brisanja od strane organizatora; u zavisnosti od paketa mogu biti i kraće (detaljno u paketu).
- Rezervne kopije: 30 dana rotacione šifrovane kopije.
- Analitički zapisi: 90 dana u agregiranoj formi.
- Sentry dijagnostika: 30 dana.
Po isteku rokova podaci se brišu ili anonimizuju bez mogućnosti rekonstrukcije.
Prava lica na koje se podaci odnose
U skladu sa GDPR-om i ZZPL-om imate pravo na:
- Pristup podacima koje obrađujemo o Vama (čl. 15).
- Ispravku netačnih podataka (čl. 16).
- Brisanje („pravo na zaborav“, čl. 17).
- Ograničenje obrade (čl. 18).
- Prenosivost u strukturiranom, uobičajenom i mašinski čitljivom formatu (čl. 20).
- Prigovor obradi zasnovanoj na legitimnom interesu (čl. 21).
- Povlačenje saglasnosti u bilo kom trenutku, bez uticaja na zakonitost ranije obrade.
- Podnošenje pritužbe nadzornom organu.
Zahtev možete uputiti na privacy@pozivnici.rs. Odgovor šaljemo u roku od 30 dana; u opravdanim slučajevima rok može biti produžen za dodatnih 60 dana uz obaveštenje.
Mere bezbednosti
Sprovodimo razumne tehničke i organizacione mere, uključujući:
- šifrovanje saobraćaja (TLS 1.3) i šifrovanje u mirovanju;
- višestepenu autentifikaciju za administrativni pristup i minimum privilegija po principu potrebe za znanjem;
- redovne bezbednosne revizije, statičku analizu koda i zavisnosti, kao i praćenje ranjivosti;
- segmentaciju okruženja (produkcija / staging / razvoj) i kontrolisan pristup rezervnim kopijama;
- plan reagovanja na incidente (runbook za 72-časovno obaveštavanje Poverenika).
Podaci maloletnih lica
Usluga nije namenjena licima mlađim od 16 godina. Organizatori koji kreiraju pozivnice za događaje vezane za decu (krštenja, dečiji rođendani) moraju pribaviti saglasnost roditelja ili staratelja pre javnog objavljivanja. Detaljno je uređeno u Ugovoru o obradi podataka.
Automatizovano odlučivanje
Ne sprovodimo automatizovano donošenje odluka sa pravnim dejstvom u smislu člana 22. GDPR-a. AI asistent predstavlja pomoćnu funkciju — konačan sadržaj pozivnice bira i objavljuje Korisnik.
Pritužbe i kontakt Poverenika
Ukoliko smatrate da je obrada Vaših podataka u suprotnosti sa propisima, imate pravo da podnesete pritužbu:
- Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, Bulevar kralja Aleksandra 15, 11000 Beograd, Srbija — www.poverenik.rs.
- Za lica sa prebivalištem u EEP-u: nadzornom organu u zemlji uobičajenog boravišta.
Kontakt i lice za zaštitu podataka
Kontakt za privatnost (DPO nije obavezan u skladu sa članom 37. GDPR-a, ali smo imenovali lice za privatnost):
- Kontakt lice
- TODO-LAWYER: unesite ime kontakt lica za privatnost
- Elektronska pošta
- privacy@pozivnici.rs
- Poštanska adresa
- TODO-LAWYER: adresa za pisanu korespondenciju
Izmene politike
Politiku privatnosti možemo ažurirati kako bi odražavala nove funkcije, zakonske izmene ili preporuke nadzornih organa. Materijalne izmene najavljujemo 30 dana unapred e-mailom ili obaveštenjem u aplikaciji.